AUF DIESER SEITE

Konfigurieren der IDP-basierten Bedrohungserkennung auf dem SSR-Spoke-Gerät
Überprüfung der IDP-basierten Bedrohungserkennung
Intrusion Detection and Prevention (IDP) Umgehungsprofile

IDP-basierte Bedrohungserkennung auf Session Smart-Routern

Führen Sie die folgenden Schritte aus, um die Netzwerksicherheit zu verbessern, indem Sie Ihren Anwendungsrichtlinien Intrusion Detection and Prevention (IDP)-Profile hinzufügen.

Mit einer IDP-Richtlinie (Intrusion Detection and Prevention) können Sie selektiv verschiedene Techniken zur Erkennung und Verhinderung von Angriffen im Netzwerkverkehr erzwingen. Sie können IDP auf dem Session Smart-Router™ von Juniper® Networks aktivieren, der als Spoke-Gerät in Ihrem Juniper Mist™ Netzwerk fungiert, indem Sie es in einer Anwendungsrichtlinie aktivieren. IDP mit einem Session Smart-Router ist nützlich für lokalen Breakout-Datenverkehr.

Anmerkung: IDP wird nur auf einem Session Smart-Router unterstützt, der als Spoke für lokalen Breakout-Datenverkehr arbeitet. IDP wird auf einem Hub-Gerät oder für Backhaul-Datenverkehr von einem Spoke zu einem Hub nicht unterstützt.

Intrusion Detection ist der Prozess der Überwachung von Ereignissen in Ihrem Netzwerk und deren Analyse auf Anzeichen von Vorfällen, Verstößen oder unmittelbaren Bedrohungen für Ihre Sicherheitsrichtlinien. Intrusion Prevention ist der Prozess der Durchführung der Intrusion Detection und dem anschließenden Stoppen der erkannten Vorfälle. Weitere Informationen finden Sie unter Übersicht über Intrusion Detection and Prevention.

Anmerkung:

IDP ist eine rechenintensive Funktion. Bei Einstiegs-SSRs wie dem SSR120 wird es wahrscheinlich zu Leistungseinbußen kommen, wenn Sie IDP in Ihren Richtlinien aktivieren.

Sehen Sie sich das folgende Video zur IDP-basierten Bedrohungserkennung auf Session Smart-Routern an.

Hey everyone, today I want to show you how easy it is to deploy an AI-driven full-stack branch managed by the Mist Cloud. That is a whole branch network with access points, switches, and routers, all being managed by a single pane of glass, with artificial intelligence to alert you to any issues and easily find the root cause of those issues. In this demo, I will show you how Juniper Network's AI-driven full-stack branch simplifies all operational stages. Day zero design, day one deployment, and day two troubleshooting and maintenance. And also, I will show you how quickly this can be done.

All right, let's jump into it. Day zero design. When we talk about day zero operations, we are talking about all the planning and design that you can do prior to deploying any of the systems. These are the tasks that should be performed to make sure that the actual deployment day goes as smoothly as possible. The tasks you want to perform here are designing your network and staging your configuration. Using the Mist Cloud, you have one interface you can log into to configure all of the access points, switches, and routers in your whole network. You can use configuration templates with site-specific variables, so you only have to create a limited number of configurations for large deployments. I have seen deployments with 10,000 sites that only have six or so different designs. So, what do they do? They create six templates and apply the appropriate templates to the correct sites as they are onboarding. I have also dealt with deployments that have a couple variations between sites. Say, for example, they use different IP address schemes at each site. This is not a problem either because all we have to do is input a variable or placeholder like this, and then when we create the site, we say, for this variable, put in this value. With this technology, we can easily deploy 1,000 sites in minutes.

Once you have your network designed and you have staged your configuration, it is time to prepare for deployment day. Day one deployment. Day one stands for the first day of use for our new devices. This is the most exciting day in my opinion. You have a shiny new device and you just can't wait to pull it out of the box and use it. Unfortunately, a lot of times, this day can be ruined by the actual deployment and installation. Well, that does not have to be the case with Juniper Networks. With the AI-driven full-stack branch, you can easily deploy your network using QR codes or claim codes. First, if you didn't do it as part of your day zero tasks, create a site in the Mist cloud and assign the appropriate templates to that site. Then, just look at the back of your device for a QR code and scan it with an app or grab the claim code and add it to your inventory for that site. If you have a white box switcher router, then just copy a few lines of configuration to get that device speaking to the Mist cloud. Once your device connects up to the Mist cloud, it will see what site it is deployed to and grab the appropriate configuration. Another huge benefit of the configuration templates is that if you need to make any changes to your configuration, all you have to do is make the change in the template and the change will get pushed down to all of the appropriate devices. You no longer need to log into each individual device. With these powerful tools at your disposal, you can have a full site up in minutes. This is what we call true zero-touch provisioning.

Day two, maintenance and troubleshooting. Once you have your site deployed, then it just comes down to your normal day-to-day operations. This is what we call our day two operations. In the Mist ecosystem, we like to break our telemetry down to SLEs or service level experiences. These SLEs give you insight into the health of your network, devices, links and applications. They alert you to any issues impacting the user experience and provide insights into the root cause. The SLEs are impressive and very powerful, giving you experience insights across the network. But even more powerful is your AI virtual network assistant, Marvis. Marvis Actions proactively alert you to high priority issues impacting your network. This Marvis actions page is a great page to start your day off with, a cup of coffee view, so you can know where you need to spend your attention and solve issues before your customers even know. You can also chat with Marvis to ask questions about your network. Say, for example, you're getting complaints about an application not working. You can ask Marvis if the problem is something on your network, with your ISP or on the application itself. This saves hours of investigating to prove where the problem is and reduces your MTTI or mean time to innocence. Security is also managed by Mist and Marvis. Using the IDP and enhanced web filtering features in your SessionSmart routers, you leverage the Juniper IDP signature database, providing state-of-the-art protection against the most up-to-date vulnerabilities. The database contains definitions of attack objects and application signatures defined in the form of an IDP policy rule set that is updated regularly.By automatically downloading the latest definitions and application signatures, the SSR is able to provide cutting-edge security solutions for your network. When discovered, you can either have your router alert you to the vulnerability or block the traffic, giving you the network protection that you need without the need to purchase additional hardware.

Lastly, with all of this data and all of these cool tools, how can you share this information with interested parties and extend Mist into your business intelligence? This can be done with Premium Analytics. Premium Analytics is another tool that you can use to share with any decision maker, help them get the relevant information they need. Whether it's a CIO looking at further network investment, a branch manager looking at user experience, or a facilities management executive looking at real estate optimization and occupancy management. Premium Analytics provides long-term insights into your network with intuitive graphs and charts. So that was a very brief dive into what the Juniper Network AI-driven full-stack SD branch has to offer. To summarize, the AI-driven full-stack SD branch simplifies every stage of operations, design, deployment, maintenance, and troubleshooting, allowing for the best user experience for your network architects, engineers, operations folks, and end users. There is a lot more that you can do with the Mist Cloud and Mist AI than we have time to show you here. If you'd like to try this out for yourself, sign up for a demo or POC. Thank you for watching.

Konfigurieren der IDP-basierten Bedrohungserkennung auf dem SSR-Spoke-Gerät

Juniper Mist Cloud unterstützt die folgenden IDP-Profile:

Standard: Das Standardprofil ist das Standardprofil und stellt die von Juniper Networks empfohlenen IDP-Signaturen und -Regeln dar. Für jeden Angriffstyp und Schweregrad gibt es eine von Juniper definierte, nicht konfigurierbare Aktion, die die IDP-Engine bei der Erkennung eines Angriffs durchsetzt. Die möglichen Aktionen sind wie folgt:
- Schließen Sie die TCP-Verbindung zwischen Client und Server.
- Verwirft das aktuelle Paket und alle nachfolgenden Pakete
- Nur eine Warnung senden (keine zusätzliche Aktion).
Warnung: Warnungsprofile sind nur für Angriffe mit niedrigem Schweregrad geeignet. Wenn die IDP-Engine böswilligen Datenverkehr im Netzwerk erkennt, generiert das System eine Warnung, ergreift jedoch keine zusätzlichen Maßnahmen, um den Angriff zu verhindern. Die IDP-Signatur und -Regeln sind die gleichen wie im Standardprofil.
Strict: Das Strict-Profil enthält einen ähnlichen Satz von IDP-Signaturen und -Regeln wie das Standardprofil. Wenn das System jedoch einen Angriff erkennt, blockiert dieses Profil aktiv böswilligen Datenverkehr oder andere Angriffe, die im Netzwerk erkannt werden.

Sie können ein IDP-Profil auf eine Anwendungsrichtlinie anwenden. Jedem Profil ist eine Datenverkehrsaktion zugeordnet, und diese Aktionen definieren, wie ein Regelsatz auf einen Dienst oder eine Anwendungsrichtlinie angewendet wird. Aktionen im IDP-Profil sind vorkonfiguriert und können von Benutzern nicht konfiguriert werden.

So konfigurieren Sie die IDP-basierte Bedrohungserkennung:

Klicken Sie im Juniper Mist Cloud-Portal auf Organisations- > WAN-Edge-Vorlagen, und wählen Sie eine Vorlage für Ihr Spoke-Gerät aus.
Scrollen Sie auf der Seite WAN-Edge-Vorlagen nach unten zum Bereich Anwendungsrichtlinien . In diesem Bereich wird die Liste der vorhandenen Anwendungsrichtlinien angezeigt.
Wählen Sie in der Spalte IDP ein IDP-Profil aus. Wählen Sie z. B. das IDP-Profil Warnung aus.

Abbildung 1: Konfigurieren eines IDP-Profils (Warnung)
Klicken Sie auf Speichern.

Das ausgewählte IDP-Profil wird auf alle Spoke-Geräte angewendet.

Anmerkung:

Stellen Sie sicher, dass Sie die Richtlinienaktion auf ZULASSEN festlegen. Andernfalls könnten die IDP-Einstellungen die DENY-Anweisung überschreiben.

Überprüfung der IDP-basierten Bedrohungserkennung

Warnung:

Wenn Sie die IDP-Funktion zum ersten Mal auf einem Spoke-Gerät aktivieren, empfehlen wir Ihnen, dies in einem Wartungsfenster zu planen. Der Start der IDP-Engine und die Aufnahme in den Pfad von LAN zu WAN (d. h. die Dienstverkettung) kann einige Minuten dauern und auch die laufende Kommunikation unterbrechen.

Sie können die Auswirkungen des IDP-basierten Sicherheitsscanners testen, indem Sie Beispielangriffe starten. Sie können Tools wie Nikto in Kali Linux verwenden, das eine Vielzahl von Optionen für Sicherheitspenetrationstests zur Verfügung stellt.

Verwenden Sie einen virtuellen Computer (VM) Desktop (desktop1) in einer Sandbox- oder Lab-Umgebung, und installieren Sie einen einfachen Sicherheitsscanner für Webserver, z. B. Nikto. Nikto ist ein Open-Source-Webserver und Webanwendungsscanner. Sie können Nikto z. B. auf einem nicht gehärteten Apache Tomcat-Webserver (oder einem entsprechenden Server) ausführen, der sich lokal in Ihrem Lab befindet. In diesem Test können Sie einfache oder unverschlüsselte HTTP-Anforderungen zur IDP-Überprüfung senden.

Das folgende Beispiel zeigt einen Prozess, bei dem Sie das Tool installieren, das Vorhandensein des HTTP-Servers überprüfen und dann die Angriffe starten.

Sie können die generierten Ereignisse anzeigen, indem Sie zu Site > Secure WAN Edge IDP/URL-Ereignisse navigieren.

Abbildung 2: IDP-Ereignisse für sichere WAN-Edge-Netzwerke Secure WAN Edge IDP Events

Abbildung 3 zeigt IDP-Ereignisse, die für den Session Smart-Router generiert wurden.

Abbildung 3: IDP-Ereignisse, die für ein IDP-Warnungsprofil IDP Events Generated for an Alert IDP Profile

generiert werden

Im vorherigen Beispiel haben Sie die passive Protokollierung für die Ereignisse verwendet, indem Sie den IDP-Profiltyp Warnungen verwendet haben. Verwenden Sie als Nächstes den IDP-Profiltyp Strict, um die Ereignisse zu beenden oder zu entschärfen. Wenn Sie das Profil "Strict" verwenden, schließt die IDP-Engine TCP-Verbindungen gegen die erkannten Angriffe.

Sie können den gleichen Prozess ausführen wie im Beispiel gezeigt. Dieses Mal ändern Sie jedoch die Spoke-Gerätevorlage und das IDP-Profil von "Warnung " in "Streng", wie in Abbildung 4 dargestellt.

Abbildung 4: Konfiguration des IDP-Profils (striktes Profil) IDP Profile Configuration (Strict Profile)

Führen Sie den Sicherheitsscanner aus. Sie werden feststellen, dass die Ausführung des Scanners länger dauert, da er mehr Fehler und weniger Ereignisse erkennt.

Abbildung 5 zeigt, dass bei einigen Ereignissen die Aktion darin besteht, die Sitzung zu schließen, um die Bedrohungen zu verringern (unter dem Feld Aktion ).

Abbildung 5: IDP-Ereignisse, die für das strikte IDP-Profil IDP Events Generated for Strict IDP Profile

generiert wurden

Intrusion Detection and Prevention (IDP) Umgehungsprofile

Der IDP-Bypass arbeitet mit den Regeln des Intrusion Prevention System (IPS) zusammen, um zu verhindern, dass unnötige Alarme generiert werden. Sie konfigurieren das IDP-Profil, wenn Sie ein bestimmtes Ziel oder einen bestimmten Angriffstyp von der Übereinstimmung mit einer IDP-Regel ausschließen möchten. Dadurch wird verhindert, dass IDP unnötige Alarme erzeugt.

Ein IDP-Profil kann über mehrere Umgehungsprofile mit jeweils mehreren Umgehungsregeln verfügen.

So erstellen Sie ein IDP-Umgehungsprofil:

Wählen Sie im Juniper Mist Cloud-Portal die Option Organization > WAN > Application Policy > IDP-Umgehungsprofile aus.

Auf der Seite wird eine Liste der IDP-Umgehungsprofile angezeigt (falls verfügbar)
Klicken Sie auf Umgehungsprofil hinzufügen , um ein Profil zu erstellen.
Gehen Sie im Fenster "Umgehungsprofil erstellen" wie folgt vor:
1. Fügen Sie einen Namen hinzu. Verwenden Sie alphanumerische Zeichen, Unterstriche oder Bindestriche und dürfen 63 Zeichen nicht überschreiten.
2. Wählen Sie das Basisprofil aus. Folgende Basisprofile werden unterstützt:
  - Norm
  - Streng
  - Nur kritisch – SRX
  Sie benötigen ein IDP-Basisprofil, um ein IDP-Umgehungsprofil zu erstellen.
3. Klicken Sie auf Weiter. Das Portal öffnet eine Regelseite, auf der Sie die Regel für das IDP-Umgehungsprofil definieren können.
  Abbildung 6: IDP-Umgehungsprofilregel
  - Aktion – Wählen Sie die zugehörige Verkehrsaktion aus. Verfügbare Optionen sind " Ändern", "Löschen" oder "Schließen".
  - Ziel-IP – IP-Adresse des Ziels für den Datenverkehr, den Sie ausnehmen möchten. Sie können eine oder mehrere Ziel-IP-Adressen aus der aufgefüllten Liste auswählen oder die Ziel-IP-Adresse eingeben, indem Sie auf Ziel-IP hinzufügen klicken.
  - Angriffsname – Wählen Sie in der angezeigten Liste die Angriffe aus, die IDP für die angegebenen Zieladressen ausschließen soll. Alternativ können Sie den Angriff eingeben, indem Sie auf Angriffsname hinzufügen klicken. Der eingegebene Angriff muss von Juniper Networks IPS-Signatur unterstützt werden.
  - Klicken Sie auf Speichern.

Die Regel, die Sie erstellt haben, wird im Bereich IDP-Umgehungsprofil angezeigt. Als Nächstes müssen Sie das IDP-Umgehungsprofil in einer Anwendungsrichtlinie anwenden, die dem Anwenden eines beliebigen IDP-Profils ähnelt, indem Sie die folgenden Schritte ausführen:

Klicken Sie im Juniper Mist Cloud-Portal auf Organisations- > WAN-Edge-Vorlagen , und wählen Sie eine Vorlage für Ihr Spoke-Gerät aus.
Wählen Sie in der Spalte IDP das IDP-Profil aus. Wählen Sie z. B. das IDP-Umgehungsprofil aus, das Sie im vorherigen Schritt erstellt haben.
Abbildung 7: Anwenden des IDP-Umgehungsprofils in der Anwendungsrichtlinie
Klicken Sie auf Speichern , nachdem Sie andere Optionen in der Anwendungsrichtlinie konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von Anwendungsrichtlinien auf Session Smart-Routern.